工业互联网+

安全事件 | 山西某火电厂燃料系统被植入非法程序事件


发布时间 2019-02-20   来源:电力安全生产  



一、燃料“三大项目”异常事件的发现


2018年8月8日0时38分,山西某电厂燃料“三大项目”系统进煤发卡室值班员在监盘过程中,通过监控画面发现有两人打开远端排队系统的控制箱柜门(该控制箱位于厂门外500米处)。值班员立即向上级汇报,电厂安排两名采样值班员到事发地点检查,发现控制柜被暴力打开,网络交换机上网线被拔出,交换机端口临时接入一个无线路由器。采样值班员拍照后将无线路由器拆除,并将排队系统网线插回交换机,值班人员将情况上报电厂值班领导。


1时16分,运维技术人员到达燃料“三大项目”信息机房,对系统后台进行检查,发现系统内存在非法程序,将非法程序其停运,同时将非法程序进行备份、日志进行备份。1时30分技术人员检查系统无异常正常运行后通知值班人员。值班人员将事件处理经过报值班领导。值班领导汇报电厂总经理后启动电厂信息安全应急预案。同时电厂通知“三大项目”研发单位人员迅速到厂配合事件调查。


二、异常事件的应对和处置情况


2018年8月8日早8点,电厂总经理接照集团公司《网络安全责任制管理办法》及《网络安全事件调查规程》第一时间组织业务、技术、安全、监察、法务等部门人员成立调查组,迅速开展事件调查。同时,燃料质检业务部门和技术部门人品全面排查“三大项目”系统,采取技术防控措施,保证系统安全稳定运行。同时,向当地公安机关报案,并配合调查取证。


县公安局接到电厂报案后,组织刑警、网监等人员立刻出警,于当日9时20分赶到现场,警方要求在案件未查清之前,相关单位、人员一律严格保密,禁止案情外泄。随后刑警支队对案发地点全面排查,调阅案发时间段厂区及周边道路监控画面,详细收集现场遗留的指纹等相关线索,全面排查周边宾馆、饭店以及高速路口嫌疑人员和车辆。


网监人员对“三大项目”系统服务器进行全盘镜像处理,对系统运行环境进行全面扫描,并提取关键数据进行分析研究。接着,在征得公安部门许可后,电厂通过电话方式向山西分公司作了事件汇报。


燃料“三大项目”研发单位技术总监和专家于8月8日下午到厂,对“三大项目”核心服务器的日志报表、应用文件、硬盘外设等进行全面检查,通过SQL语句对海量数据进行对比分析, 查找系统被破坏的蛛丝马迹。


经过一个星期的分析研究,公安局网监人员和研发单位专家一致认为:在事件发生前后,“三大项目”系统煤质、 煤样、采样坐标等关键数据的分布没有规律性和指向性的变化,该非法活动还处在初步测试阶段,没有对系统产生实质性破坏。


8月23日,公安局刑警支队将嫌疑人抓获,嫌疑人陈某以及另4名无业人员。据陈某交代,其植入在“三大项目”系统中的非法程序尚处于测试阶段,企图通过测试及后续改进完善,对系统测算参数进行修改,进而非法牟利。


(来源:电力安全生产)


相关推荐
重要看点
工业互联网
工业互联网

工业自动化控制系统,主要利用电子、电气、机械、软件组合实现,广泛用于电力、水利、能源、数据采集等关键基础设施领域,包括SCADA、DCS、PLC等工业控制系统的安全问题。